प्लेटफ़ॉर्म
java
घटक
org.apache.linkis:linkis
में ठीक किया गया
1.7.1
1.8.0
CVE-2025-29847 Apache Linkis में Arbitrary File Access भेद्यता से संबंधित है। JDBC इंजन और डेटा स्रोत कार्यक्षमता का उपयोग करते समय, फ्रंटएंड पर कॉन्फ़िगर किए गए URL पैरामीटर में कई बार URL एन्कोडिंग होने पर, यह सिस्टम की जाँचों को बायपास कर सकता है। इससे सिस्टम फ़ाइलों तक अनधिकृत पहुंच हो सकती है। यह भेद्यता Apache Linkis के संस्करण 1.3.0 से 1.7.0 तक के संस्करणों को प्रभावित करती है। संस्करण 1.8.0 में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावर को Apache Linkis सर्वर पर सिस्टम फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर JDBC कनेक्शन URL में URL एन्कोडिंग का उपयोग करके सिस्टम की सुरक्षा जाँचों को बायपास कर सकता है। इससे संवेदनशील डेटा का खुलासा, सिस्टम कॉन्फ़िगरेशन में बदलाव या यहां तक कि सर्वर पर कोड निष्पादन भी हो सकता है। इस भेद्यता का उपयोग करके हमलावर लिंकिस सर्वर के भीतर पार्श्व आंदोलन भी कर सकता है, अन्य प्रणालियों तक पहुंच प्राप्त कर सकता है जो लिंकिस सर्वर के साथ संवाद करते हैं। इस भेद्यता का संभावित प्रभाव व्यापक हो सकता है, खासकर यदि लिंकिस सर्वर महत्वपूर्ण डेटा या सेवाओं को होस्ट करता है।
CVE-2025-29847 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी CVSS स्कोर 7.5 है, जो इसे HIGH जोखिम वाला बनाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-01-19 को प्रकाशित हुई थी।
Organizations deploying Apache Linkis for data processing and analytics are at risk, particularly those relying on the JDBC engine for connecting to external data sources. Environments with legacy Linkis installations (versions 1.3.0 - 1.7.0) are especially vulnerable, as are those with complex JDBC configurations or inadequate input validation.
• java / server:
find /opt/linkis/logs -type f -name "*.log" | grep -i "JDBC URL contains multiple encoded characters"• generic web:
curl -I <linkis_jdbc_url_endpoint> | grep -i "URL-encoded characters"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CVSS वेक्टर
CVE-2025-29847 के प्रभाव को कम करने के लिए, Apache Linkis को संस्करण 1.8.0 में अपडेट करना सबसे प्रभावी तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, JDBC कनेक्शन URL में "%" वर्ण की लगातार जाँच की जानी चाहिए। यदि यह वर्ण मौजूद है, तो URL डिकोडिंग की जानी चाहिए। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके JDBC कनेक्शन URL में दुर्भावनापूर्ण URL एन्कोडिंग प्रयासों को ब्लॉक किया जा सकता है। सिस्टम लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है।
Actualice Apache Linkis a la versión 1.8.0 o superior. Como alternativa, revise continuamente la información de conexión en busca del carácter '%' y realice la decodificación de URL si está presente para evitar el bypass de las comprobaciones del sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-29847 Apache Linkis में एक भेद्यता है जो हमलावरों को JDBC कनेक्शन URL में URL एन्कोडिंग का उपयोग करके सिस्टम फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।
यदि आप Apache Linkis के संस्करण 1.3.0 से 1.7.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-29847 को ठीक करने के लिए, Apache Linkis को संस्करण 1.8.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो URL एन्कोडिंग की जाँच करें।
CVE-2025-29847 के सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आप Apache Linkis के आधिकारिक सलाहकार को यहां पा सकते हैं: [Apache Linkis Security Advisories](https://linkis.apache.org/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।